የጊዜ ማመሳሰል እንዴት ደህንነቱ የተጠበቀ ሆነ

በTCP/IP በኩል የሚገናኙ አንድ ሚሊዮን ትላልቅ እና ትናንሽ መሳሪያዎች ካሉዎት በሰዓቱ የማይዋሽ መሆኑን እንዴት ማረጋገጥ ይቻላል? ደግሞም እያንዳንዳቸው ሰዓት አላቸው, እና ጊዜው ለሁሉም ትክክለኛ መሆን አለበት. ይህ ችግር ያለ ntp ሊታለፍ አይችልም.

በአንድ የኢንደስትሪ የአይቲ መሠረተ ልማት ክፍል ውስጥ አገልግሎቶችን በጊዜ ሂደት የማመሳሰል ችግሮች እንዳሉ ለአንድ ደቂቃ እናስብ። ወዲያውኑ የኢንተርፕራይዝ ሶፍትዌር ክላስተር ቁልል ውድቀት ይጀምራል፣ ጎራዎች ተበታተኑ፣ ጌቶች እና ተጠባባቂ ኖዶች ወደነበረበት ለመመለስ ጥረት ሳያደርጉ ቀሩ።

እንዲሁም አንድ አጥቂ ሆን ብሎ ጊዜውን በMiTM ወይም DDOS ጥቃት ለማደናቀፍ ሊሞክር ይችላል። በእንደዚህ ዓይነት ሁኔታ ውስጥ ማንኛውም ነገር ሊከሰት ይችላል-

• የተጠቃሚ መለያ የይለፍ ቃሎች ጊዜው ያልፍባቸዋል;
• X.509 የምስክር ወረቀቶች ጊዜው ያልፍበታል;
• TOTP ባለ ሁለት ደረጃ ማረጋገጫ መስራት ያቆማል;
• መጠባበቂያዎች ጊዜ ያለፈባቸው ይሆናሉ እና ስርዓቱ ይሰርዛቸዋል;
• DNSSec ይሰበራል።

እያንዳንዱ የአይቲ ክፍል የጊዜ ማመሳሰል አገልግሎቶችን አስተማማኝ አሠራር እንደሚፈልግ ግልጽ ነው, እና በኢንዱስትሪ አሠራር ውስጥ አስተማማኝ እና አስተማማኝ ከሆኑ ጥሩ ይሆናል.

NTP በ 25 ደቂቃዎች ውስጥ ይሰብሩ

የአውታረ መረብ ፕሮቶኮሎች - ሚሊኒየም አንድ ልዩ ባህሪ አላቸው, እነሱ ነበሩ ጊዜው ያለፈበት እና ከአሁን በኋላ ለምንም ጥሩ አይደሉም፣ ነገር ግን እነሱን መተካት በጣም ብዙ አድናቂዎች እና የገንዘብ ድጋፍ በሚከማችበት ጊዜ እንኳን ቀላል አይደለም።

ስለ ክላሲክ ኤንቲፒ ዋናው ቅሬታ ከወራሪዎች የሚደርሱትን ጥቃቶች ለመከላከል አስተማማኝ ዘዴዎች አለመኖር ነው። ይህንን ችግር ለመፍታት የተለያዩ ሙከራዎች ተደርገዋል። ይህንን ለማግኘት በመጀመሪያ የተጋራ ቁልፍ (PSK) የሲሜትሪክ ቁልፎችን የምንለዋወጥበትን ዘዴ ተግባራዊ አድርገናል።

እንደ አለመታደል ሆኖ ይህ ዘዴ በቀላል ምክንያት አልከፈለም - በጥሩ ሁኔታ አይመዘንም። በአገልጋዩ ላይ በመመስረት በደንበኛው በኩል በእጅ ማዋቀር ያስፈልጋል. ይህ ማለት በቀላሉ ሌላ ደንበኛ ማከል አይችሉም ማለት ነው። በNTP አገልጋይ ላይ የሆነ ነገር ከተቀየረ ሁሉም ደንበኞች እንደገና መዋቀር አለባቸው።

ከዚያም በAutoKey መጡ፣ ነገር ግን ወዲያውኑ በአልጎሪዝም ንድፍ ውስጥ በርካታ ከባድ ተጋላጭነቶችን አግኝተዋል እና እሱን መተው ነበረባቸው። ነገሩ ዘሩ 32-ቢት ብቻ የያዘ ነው, በጣም ትንሽ ነው እና ለፊት ለፊት ጥቃት በቂ ስሌት ውስብስብነት የለውም.

• ቁልፍ መታወቂያ - ሲሜትሪክ 32-ቢት ቁልፍ;
• ማክ (የመልእክት ማረጋገጫ ኮድ) - የኤንቲፒ ፓኬት ማረጋገጫ;

አውቶኪኪው እንደሚከተለው ይሰላል.

Autokey=H(Sender-IP||Receiver-IP||KeyID||Cookie)

H() ምስጠራ ሃሽ ተግባር በሆነበት።

ተመሳሳይ ተግባር የፓኬቶችን ቼክ ስሌት ለማስላት ጥቅም ላይ ይውላል.

MAC=H(Autokey||NTP packet)

የጠቅላላው የጥቅል ፍተሻዎች ትክክለኛነት በኩኪዎች ትክክለኛነት ላይ የተመሠረተ ነው። አንዴ ካገኛችሁ በኋላ አውቶኪኑን ወደነበረበት መመለስ እና MAC ን መንቀል ይችላሉ። ነገር ግን፣ የኤንቲፒ አገልጋይ ሲያመነጭ ዘርን ይጠቀማል። የሚይዘው እዚህ ላይ ነው።

Cookie=MSB_32(H(Client IP||Server IP||0||Server Seed))

የMSB_32 ተግባር ከ md5 hash ስሌት ውጤት 32 በጣም ጠቃሚ የሆኑትን ቢት ይቆርጣል። የአገልጋዩ መለኪያዎች እስካልተቀየሩ ድረስ የደንበኛው ኩኪ አይለወጥም። ከዚያ አጥቂው የመጀመሪያውን ቁጥር ብቻ ወደነበረበት መመለስ እና እራሱን የቻለ ኩኪዎችን ማመንጨት ይችላል።

በመጀመሪያ ከኤንቲፒ አገልጋይ ጋር እንደ ደንበኛ መገናኘት እና ኩኪዎችን መቀበል ያስፈልግዎታል። ከዚህ በኋላ, ብሩት ሃይል ዘዴን በመጠቀም, አጥቂው ቀላል ስልተ-ቀመርን ተከትሎ የመጀመሪያውን ቁጥር ያድሳል.

የብሩት-ኃይል ዘዴን በመጠቀም የመነሻውን ቁጥር ስሌት ለማጥቃት ስልተ-ቀመር።

   for i=0:2^32 − 1 do
        Ci=H(Server-IP||Client-IP||0||i)
        if Ci=Cookie then
            return i
        end if 
    end for

የአይ ፒ አድራሻዎቹ ይታወቃሉ፣ ስለዚህ የተፈጠረው ኩኪ ከኤንቲፒ አገልጋይ ከተቀበለው ጋር እስኪመሳሰል ድረስ 2^32 ሃሽ መፍጠር ብቻ ይቀራል። ከIntel Core i5 ጋር በመደበኛው የቤት ጣቢያ ይህ 25 ደቂቃዎችን ይወስዳል።

NTS - አዲስ Autokey

በ Autokey ውስጥ እንደዚህ ያሉ የደህንነት ቀዳዳዎችን ለማስቀመጥ የማይቻል ነበር, እና በ 2012 ታየ አዲስ ስሪት ፕሮቶኮል. ስሙን ለማላላት፣ ብራንድ ለመቀየር ወሰኑ፣ ስለዚህ አውቶኪ ቁ.2 የአውታረ መረብ ጊዜ ደህንነት የሚል ስያሜ ተሰጥቶታል።

የNTS ፕሮቶኮል የNTP ደህንነት ማራዘሚያ ሲሆን በአሁኑ ጊዜ የዩኒካስት ሁነታን ብቻ ይደግፋል። ከፓኬት ማጭበርበር ጠንካራ ክሪፕቶግራፊያዊ ጥበቃን ይሰጣል፣ መሽኮርመምን ይከላከላል፣ ሚዛኖችን በጥሩ ሁኔታ ይመዝን፣ ለአውታረ መረብ ፓኬት መጥፋት የሚቋቋም እና በግንኙነት ደህንነት ወቅት የተፈጠረውን ትንሹን ትክክለኛ ኪሳራ ያስከትላል።

የNTS ግንኙነት ዝቅተኛ የንብርብር ፕሮቶኮሎችን የሚጠቀሙ ሁለት ደረጃዎችን ያቀፈ ነው። በርቷል የመጀመሪያው በዚህ ደረጃ ደንበኛው እና አገልጋዩ በተለያዩ የግንኙነት መለኪያዎች ላይ ይስማማሉ እና ሁሉም ተያያዥ የውሂብ ስብስብ ያላቸው ቁልፎችን የያዙ ኩኪዎችን ይለዋወጣሉ። በርቷል ሁለተኛ በዚህ ደረጃ፣ ትክክለኛው የተጠበቀው የNTS ክፍለ ጊዜ በደንበኛው እና በኤንቲፒ አገልጋይ መካከል ይካሄዳል።

NTS ሁለት የበታች-ንብርብር ፕሮቶኮሎችን ያቀፈ ነው፡ የአውታረ መረብ ጊዜ ደህንነት ቁልፍ ልውውጥ (NTS-KE) በTLS ላይ ደህንነቱ የተጠበቀ ግንኙነት ያስጀምራል እና NTPv4 የ NTP ፕሮቶኮል የቅርብ ጊዜ ትስጉት። ከዚህ በታች ስለዚህ ጉዳይ ትንሽ ተጨማሪ።

የመጀመሪያ ደረጃ - NTS KE

በዚህ ደረጃ፣ የNTP ደንበኛ የTLS 1.2/1.3 ክፍለ ጊዜን ከNTS KE አገልጋይ ጋር በተለየ የTCP ግንኙነት ይጀምራል። በዚህ ክፍለ ጊዜ የሚከተለው ይከሰታል.

• ተዋዋይ ወገኖች መለኪያዎችን ይወስናሉ መኢአድ ለሁለተኛው ደረጃ አልጎሪዝም.
• ተዋዋይ ወገኖቹ ሁለተኛውን ዝቅተኛ-ንብርብር ፕሮቶኮልን ይገልጻሉ, ነገር ግን በአሁኑ ጊዜ NTPv4 ብቻ ነው የሚደገፈው.
• ተዋዋይ ወገኖች የNTP አገልጋይን የአይፒ አድራሻ እና ወደብ ይወስናሉ።
• NTS KE አገልጋይ በNTPv4 ስር ኩኪዎችን ያወጣል።
• ተዋዋይ ወገኖች ከኩኪው ቁሳቁስ ጥንድ ሲሜትሪክ ቁልፎችን (C2S እና S2C) ያወጣሉ።

ይህ አቀራረብ የግንኙነት መለኪያዎችን በተመለከተ ሚስጥራዊ መረጃን የማሰራጨት አጠቃላይ ሸክም በተረጋገጠ እና አስተማማኝ የTLS ፕሮቶኮል ላይ መውደቁ ትልቅ ጥቅም አለው። ይህ ደህንነቱ የተጠበቀ የኤንቲፒ እጅ መጨባበጥ የራስዎን ጎማ እንደገና የመፍጠር አስፈላጊነትን ያስወግዳል።

ሁለተኛ ደረጃ - NTP በ NTS ጥበቃ ስር

በሁለተኛው እርከን ደንበኛው ደህንነቱ በተጠበቀ ሁኔታ ከኤንቲፒ አገልጋይ ጋር ጊዜውን ያመሳስለዋል። ለዚሁ ዓላማ, በ NTPv4 ፓኬት መዋቅር ውስጥ አራት ልዩ ቅጥያዎችን (የማራዘሚያ መስኮችን) ያስተላልፋል.

• ልዩ መለያው ቅጥያ መልሶ ማጫወት ጥቃቶችን ለመከላከል የዘፈቀደ ኖንስ ይዟል።
• NTS ኩኪ ቅጥያ ለደንበኛው ከሚገኙት የNTP ኩኪዎች ውስጥ አንዱን ይዟል። ደንበኛው ብቻ የC2S እና S2C ሲሜትሪክ AAED ቁልፎች ስላሉት የኤንቲፒ አገልጋይ ከኩኪው እቃ ማውጣት አለበት።
• NTS ኩኪ ቦታ ያዥ ቅጥያ ደንበኛ ተጨማሪ ኩኪዎችን ከአገልጋዩ የሚጠይቅበት መንገድ ነው። ይህ ቅጥያ የNTP አገልጋይ ምላሽ ከጥያቄው ብዙም ያልረዘመ መሆኑን ለማረጋገጥ አስፈላጊ ነው። ይህ የማጉላት ጥቃቶችን ለመከላከል ይረዳል.
• NTS አረጋጋጭ እና የተመሰጠሩ የኤክስቴንሽን መስኮች ቅጥያ የ AAED ምስጢራዊ ከC2S ቁልፍ፣ NTP አርዕስት፣ የጊዜ ማህተም እና ከላይ ያለው ኢኤፍ እንደ አጃቢ ውሂብ ይዟል። ያለዚህ ማራዘሚያ የጊዜ ማህተሞችን ማንኳኳት ይቻላል.

ከደንበኛው ጥያቄ ሲደርሰው አገልጋዩ የNTP ፓኬት ትክክለኛነት ያረጋግጣል። ይህንን ለማድረግ, ኩኪዎችን ዲክሪፕት ማድረግ, የ AAED ስልተ ቀመር እና ቁልፎችን ማውጣት አለበት. የNTP ፓኬቱን ትክክለኛነት በተሳካ ሁኔታ ካረጋገጡ በኋላ አገልጋዩ ለደንበኛው በሚከተለው ቅርጸት ምላሽ ይሰጣል።

• ልዩ መለያ ማራዘሚያ የደንበኛ ጥያቄ የመስታወት ቅጂ ነው፣ ከተደጋጋሚ ጥቃቶች ላይ መለኪያ።
• ክፍለ-ጊዜውን ለመቀጠል NTS ኩኪ ተጨማሪ ኩኪዎችን ያራዝሙ።
• NTS አረጋጋጭ እና የተመሰጠሩ የኤክስቴንሽን መስኮች ቅጥያ የ AEAD ምስጢራዊ ከS2C ቁልፍ ጋር ይዟል።

እያንዳንዱ ጥያቄ እና ምላሽ ለደንበኛው ተጨማሪ ኩኪዎችን ስለሚሰጥ ሁለተኛው የእጅ መጨባበጥ የመጀመሪያውን ደረጃ በማለፍ ብዙ ጊዜ ሊደገም ይችላል። ይህ ጥቅሙ በአንፃራዊነት ሀብቱ የተጠናከረ የTLS ስራዎች የፒኪአይ መረጃን የማስላት እና የማስተላለፍ ስራዎች በተደጋገሙ ጥያቄዎች ብዛት መከፋፈላቸው ነው። ይህ በተለይ ለልዩ የ FPGA ጊዜ ጠባቂዎች በጣም ምቹ ነው ፣ ሁሉም ዋና ተግባራት ከሲሜትሪክ ክሪፕቶግራፊ መስክ ወደ ብዙ ተግባራት ሲታሸጉ ፣ ሙሉውን የቲኤልኤስ ቁልል ወደ ሌላ መሳሪያ በማስተላለፍ።

NTPSec

ስለ NTP ልዩ ምንድነው? ምንም እንኳን የፕሮጀክቱ ደራሲ ዴቭ ሚልስ ኮዱን በተቻለ መጠን ለመመዝገብ ቢሞክርም 35 አመት የሆናቸውን የጊዜ ማመሳሰል ስልተ ቀመሮችን ለመረዳት የሚያስችል ብርቅዬ ፕሮግራመር ነው። አንዳንዶቹ ኮድ የተጻፉት ከPOSIX ዘመን በፊት ነው፣ እና ዩኒክስ ኤፒአይ ዛሬ ጥቅም ላይ ከሚውለው በጣም የተለየ ነበር። በተጨማሪም ምልክቱን በጩኸት መስመሮች ላይ ካለው ጣልቃገብነት ለማጽዳት የስታቲስቲክስ እውቀት ያስፈልጋል.

NTS ኤንቲፒን ለማስተካከል የመጀመሪያው ሙከራ አልነበረም። አንዴ አጥቂዎች የDDoS ጥቃቶችን ለማጠናከር የNTP ተጋላጭነቶችን መጠቀምን ከተማሩ በኋላ ሥር ነቀል ለውጦች እንደሚያስፈልግ ግልጽ ሆነ። እና የኤንቲኤስ ረቂቆች እየተዘጋጁ እና እየተጠናቀቁ ባሉበት ወቅት፣ የዩኤስ ብሄራዊ ሳይንስ ፋውንዴሽን እ.ኤ.አ. በ2014 መገባደጃ ላይ ለኤንቲፒ ማዘመን አስቸኳይ እርዳታ መድቧል።

የስራ ቡድኑ የሚመራው በማንም ብቻ ሳይሆን ኤሪክ ስቲቨን ሬይመንድ - ከክፍት ምንጭ ማህበረሰብ መስራቾች እና ምሰሶዎች አንዱ እና የመጽሐፉ ደራሲ ካቴድራል እና ባዛር. ኤሪክ እና ጓደኞቹ ለማድረግ የሞከሩት የመጀመሪያው ነገር የኤንቲፒ ኮድን ከ BitKeeper መድረክ ወደ ጂት ማዛወር ነው, ነገር ግን በዚህ መንገድ አልሰራም. የፕሮጀክቱ መሪ ሃርላን ስቴን ይህንን ውሳኔ ተቃወመ እና ድርድሩ ቆሟል። ከዚያም የፕሮጀክቱን ኮድ ለመንጠቅ ተወስኗል, እና NTPSec ተወለደ.

ጠንካራ ልምድ፣ በጂፒኤስዲ ላይ ስራን፣ የሂሳብ ዳራ እና የጥንታዊ ኮድ ማንበብ አስማታዊ ክህሎትን ጨምሮ - ኤሪክ ሬይመንድ እንደዚህ አይነት ፕሮጀክት ማንሳት የሚችል ጠላፊ ነበር። ቡድኑ የኮድ ፍልሰት ስፔሻሊስት እና በ 10 ሳምንታት ውስጥ ብቻ NTP አግኝቷል ተረጋጋበ GitLab. ሥራው በተጠናከረ ሁኔታ ላይ ነበር።

የኤሪክ ሬይመንድ ቡድን ስራውን የጀመረው ኦገስት ሮዲን በድንጋይ ድንጋይ እንዳደረገው አይነት ነው። 175 KLOC የድሮ ኮድን በማስወገድ ብዙ የደህንነት ቀዳዳዎችን በመዝጋት የጥቃት ገፅን በእጅጉ መቀነስ ችለዋል።

በስርጭቱ ውስጥ የተካተቱት ያልተሟሉ ዝርዝር እነሆ፡-

• ያልተመዘገበ፣ ያለፈበት፣ ያለፈበት ወይም የተሰበረ የዳግም ሰዓት።
• ጥቅም ላይ ያልዋለ ICS ቤተ-መጽሐፍት.
• ሊቦፕቶች / አውቶጅን.
• የድሮ ኮድ ለዊንዶውስ።
• ntpdc
• የመኪና ቁልፍ
• የ ntpq C ኮድ በፓይዘን ውስጥ እንደገና ተጽፏል።
• የsntp/ntpdig C ኮድ በፓይዘን ውስጥ እንደገና ተጽፏል።

ኮዱን ከማጽዳት በተጨማሪ ፕሮጀክቱ ሌሎች ተግባራት ነበሩት. የስኬቶች ከፊል ዝርዝር እነሆ፡-

• የኮድ ጥበቃ ከመጠባበቂያ ክምችት በከፍተኛ ሁኔታ ተሻሽሏል። ቋት ሞልቶ እንዳይፈስ ለመከላከል ሁሉም ደህንነታቸው ያልተጠበቁ የሕብረቁምፊ ተግባራት (strcpy/strcat/strtok/sprintf/vsprintf/gets) የመጠባበቂያ መጠን ገደቦችን በሚተገብሩ አስተማማኝ ስሪቶች ተተክተዋል።
• የ NTS ድጋፍ ታክሏል።
• አካላዊ ሃርድዌርን በማገናኘት የተሻሻለ የጊዜ እርምጃ ትክክለኛነት በአስር እጥፍ። ይህ የሆነበት ምክንያት ዘመናዊ የኮምፒተር ሰዓቶች ኤንቲፒ ሲወለድ ከነበሩት የበለጠ ትክክለኛ በመሆናቸው ነው. የዚህ ትልቁ ተጠቃሚዎች ጂፒኤስDO እና የወሰኑ ጊዜ ራዲዮዎች ነበሩ።
• የፕሮግራም አወጣጥ ቋንቋዎች ቁጥር ወደ ሁለት ቀንሷል። ከፐርል፣ አዋክ እና ኤስ ስክሪፕቶች ይልቅ፣ አሁን ሁሉም Python ነው። በዚህ ምክንያት, ኮድን እንደገና ለመጠቀም ተጨማሪ እድሎች አሉ.
• ከአውቶቶል ስክሪፕቶች ኑድል ይልቅ፣ ፕሮጀክቱ የሶፍትዌር ግንባታ ስርዓትን መጠቀም ጀመረ ዋፍ.
• የተሻሻለ እና እንደገና የተደራጀ የፕሮጀክት ሰነድ። እርስ በርሱ የሚጋጭ እና አንዳንዴም ጥንታዊ ከሆኑ የሰነዶች ስብስብ፣ ሊተላለፉ የሚችሉ ሰነዶችን ፈጥረዋል። እያንዳንዱ የትዕዛዝ መስመር መቀየሪያ እና እያንዳንዱ የውቅረት አካል አሁን አንድ ነጠላ የእውነት ስሪት አለው። በተጨማሪም፣ የሰው ገፆች እና የድር ሰነዶች አሁን ከተመሳሳይ ዋና ፋይሎች የተፈጠሩ ናቸው።

NTPSec ለብዙ ሊኑክስ ስርጭቶች ይገኛል። በአሁኑ ጊዜ, የቅርብ ጊዜው የተረጋጋ ስሪት 1.1.8 ነው, ለ Gentoo ሊኑክስ ዋነኛው ነው.

(1:696)$ sudo emerge -av ntpsec
These are the packages that would be merged, in order:
Calculating dependencies... done!
[ebuild   R    ] net-misc/ntpsec-1.1.7-r1::gentoo  USE="samba seccomp -debug -doc -early -gdb -heat -libbsd -nist -ntpviz -rclock_arbiter -rclock_generic -rclock_gpsd -rclock_hpgps -rclock_jjy -rclock_local -rclock_modem -rclock_neoclock -rclock_nmea -rclock_oncore -rclock_pps -rclock_shm -rclock_spectracom -rclock_trimble -rclock_truetime -rclock_zyfer -smear -tests" PYTHON_TARGETS="python3_6" 0 KiB
Total: 1 package (1 reinstall), Size of downloads: 0 KiB
Would you like to merge these packages? [Yes/No]

ሥር የሰደደ

የድሮውን NTP ይበልጥ ደህንነቱ በተጠበቀ አማራጭ ለመተካት ሌላ ሙከራ ነበር። Chrony፣ ከNTPSec በተለየ መልኩ፣ ከመሬት ተነስቶ የተፃፈ እና በተለያዩ ሁኔታዎች፣ ያልተረጋጋ የአውታረ መረብ ግንኙነቶች፣ ከፊል የአውታረ መረብ መገኘት ወይም መጨናነቅ፣ እና የሙቀት ለውጦችን ጨምሮ በአስተማማኝ ሁኔታ ለመስራት የተነደፈ ነው። በተጨማሪም, Chrony ሌሎች ጥቅሞች አሉት:

• ክሮኒ የስርዓት ሰዓቱን በበለጠ ትክክለኛነት በበለጠ ፍጥነት ማመሳሰል ይችላል ፣
• ክሮኒ ትንሽ ነው፣ አነስተኛ ማህደረ ትውስታን የሚፈጅ እና ሲያስፈልግ ብቻ ሲፒዩን ይደርሳል። ይህ ሀብት እና ጉልበት ለመቆጠብ ትልቅ ፕላስ ነው;
• ክሮኒ በሊኑክስ ላይ የሃርድዌር ጊዜ ማህተሞችን ይደግፋል፣ ይህም በአካባቢያዊ አውታረ መረቦች ላይ እጅግ በጣም ትክክለኛ የሆነ ማመሳሰልን ይፈቅዳል።

ነገር ግን፣ ክሮኒ አንዳንድ የአሮጌው የኤንቲፒ ባህሪያት ይጎድላቸዋል፣ ለምሳሌ እንደ ስርጭት እና ባለብዙ ካስት ደንበኛ/አገልጋይ። በተጨማሪም፣ ክላሲክ NTP ብዙ ቁጥር ያላቸውን ኦፕሬቲንግ ሲስተሞችን እና መድረኮችን ይደግፋል።

የአገልጋዩን እና የNTP ጥያቄዎችን ወደ chronyd ሂደት ለማሰናከል በ chrony.conf ፋይል ውስጥ ወደብ 0 ብቻ ይፃፉ። ይህ የሚደረገው ለኤንቲፒ ደንበኞች ወይም እኩዮች ጊዜ ማቆየት በማይኖርበት ጊዜ ነው። ከስሪት 2.0 ጀምሮ የኤንቲፒ አገልጋይ ወደብ የሚከፈተው በተፈቀደ መመሪያ ወይም አግባብ ባለው ትእዛዝ ሲፈቀድ ወይም የNTP አቻ ሲዋቀር ወይም የስርጭት መመሪያ ስራ ላይ ሲውል ብቻ ነው።

ፕሮግራሙ ሁለት ሞጁሎችን ያካትታል.

• ክሮኒድ ከበስተጀርባ የሚሰራ አገልግሎት ነው። በስርዓት ሰዓቱ እና በውጫዊ ጊዜ አገልጋይ መካከል ስላለው ልዩነት መረጃ ይቀበላል እና የአካባቢን ጊዜ ያስተካክላል። እንዲሁም የNTP ፕሮቶኮልን ተግባራዊ ያደርጋል እና እንደ ደንበኛ ወይም አገልጋይ ሆኖ መስራት ይችላል።
• Chronyc ለፕሮግራም ቁጥጥር እና ቁጥጥር የትእዛዝ መስመር መገልገያ ነው። የተለያዩ የአገልግሎት መለኪያዎችን ለማስተካከል ይጠቅማል፣ ለምሳሌ ክሮኒድ መስራቱን በሚቀጥልበት ጊዜ የNTP አገልጋዮችን እንዲያክሉ ወይም እንዲያስወግዱ ያስችልዎታል።

ከ RedHat ሊኑክስ ስሪት 7 ጀምሮ ይጠቀማል chrony እንደ የጊዜ ማመሳሰል አገልግሎት። ጥቅሉ ለሌሎች የሊኑክስ ስርጭቶችም ይገኛል። የቅርብ ጊዜው የተረጋጋ ስሪት 3.5 ነው, ለ v4.0 ለመልቀቅ በመዘጋጀት ላይ.

(1:712)$ sudo emerge -av chrony
These are the packages that would be merged, in order:
Calculating dependencies... done!
[binary  N     ] net-misc/chrony-3.5-r2::gentoo  USE="adns caps cmdmon ipv6 ntp phc readline refclock rtc seccomp (-html) -libedit -pps (-selinux)" 246 KiB
Total: 1 package (1 new, 1 binary), Size of downloads: 246 KiB
Would you like to merge these packages? [Yes/No]

በቢሮ አውታረመረብ ላይ ጊዜን ለማመሳሰል የራስዎን የርቀት ክሮኒ አገልጋይ እንዴት በበይነመረብ ላይ ማዋቀር እንደሚቻል። ከዚህ በታች ቪፒኤስን የማዋቀር ምሳሌ ነው።

Chrony በRHEL/CentOS በVPS ላይ የማዋቀር ምሳሌ

አሁን ትንሽ እንለማመድ እና የራሳችንን NTP አገልጋይ በቪፒኤስ ላይ እናዋቅር። በጣም ቀላል ነው, በ RuVDS ድህረ ገጽ ላይ ተገቢውን ታሪፍ ብቻ ይምረጡ, ዝግጁ የሆነ አገልጋይ ያግኙ እና ደርዘን ቀላል ትዕዛዞችን ይተይቡ. ለኛ ዓላማ ይህ አማራጭ በጣም ተስማሚ ነው.

አገልግሎቱን ወደ ማዋቀር እንሂድ እና መጀመሪያ የክሮኒ ፓኬጁን እንጭን።

[root@server ~]$ yum install chrony

RHEL 8 / CentOS 8 የተለየ የጥቅል አስተዳዳሪን ይጠቀማሉ።

[root@server ~]$ dnf install chrony

Chrony ከጫኑ በኋላ አገልግሎቱን መጀመር እና ማግበር ያስፈልግዎታል።

[root@server ~]$ systemctl enable chrony --now

ከተፈለገ የምላሽ ጊዜን ለመቀነስ NPT አገልጋዮችን በአቅራቢያው ባሉ አካባቢያዊ በመተካት በ /etc/chrony.conf ላይ ለውጦችን ማድረግ ይችላሉ።

# Use public servers from the pool.ntp.org project.
# Please consider joining the pool (http://www.pool.ntp.org/join.html).
server 0.ru.pool.ntp.org iburst
server 1.ru.pool.ntp.org iburst
server 2.ru.pool.ntp.org iburst
server 3.ru.pool.ntp.org iburst

በመቀጠል, ከተጠቀሰው ገንዳ ውስጥ የ NTP አገልጋይን ከአንጓዎች ጋር ማመሳሰልን እናዘጋጃለን.

[root@server ~]$ timedatectl set-ntp true
[root@server ~]$ systemctl restart chronyd.service

በተጨማሪም የኤንቲፒ ወደብ ወደ ውጭ መክፈት አስፈላጊ ነው, አለበለዚያ ፋየርዎል ከደንበኛ አንጓዎች የሚመጡ ግንኙነቶችን ያግዳል.

[root@server ~]$ firewall-cmd --add-service=ntp --permanent 
[root@server ~]$ firewall-cmd --reload

በደንበኛው በኩል የሰዓት ዞኑን በትክክል ማዘጋጀት በቂ ነው.

[root@client ~]$ timedatectl set-timezone Europe/Moscow

የ /etc/chrony.conf ፋይሉ የNTP አገልጋይ ክሮኒ የሚያሄደውን የVPS አገልጋይ አይፒ ወይም አስተናጋጅ ስም ይገልጻል።

server my.vps.server

እና በመጨረሻም ፣ በደንበኛው ላይ የሰዓት ማመሳሰልን ይጀምራል።

[root@client ~]$ systemctl enable --now chronyd
[root@client ~]$ timedatectl set-ntp true

በሚቀጥለው ጊዜ ያለ በይነመረብ ጊዜን ለማመሳሰል ምን አማራጮች እንዳሉ እነግርዎታለሁ።

ምንጭ: hab.com